Microsoft – Patchmanagement

Updates und Patches von Microsoft erscheinen in der Regel einmal pro Monat. Wie man sich darauf vorbereitet zeigt dieser Newsletter.

Zuerst Einmal im Monat veröffentlicht Microsoft neue Sicherheits-Bulletins. Nun liegt es am Administrator des Unternehmens, zu entscheiden welche Updates und Patches eingespielt werden sollen. Das Risiko, das ein Patch die Verfügbarkeit der Unternehmens-IT beeinträchtigt, ist nicht zu vernachlässigen. Mit Unterstützung des WSUS (Windows Server Update Service), lässt sich das Leben erleichtern. 

Denkt man einige Jahre zurück, bestand der Aktualisierungsservice von Microsoft darin, eine Liste von verfügbaren Patches zur Verfügung zu stellen, worin sich der Nutzer selbst bedienen musste. Heute gibt es den automatischen Aktualisierunsservice bis hin zu umfangreichen Lösungen für das Patchmanagement. Leider unterlassen es viele KMU’s trotz der heute angebotenen Hilfen einen Plan für die Aktualisierungsverwaltung aufzustellen und ihn umzusetzen.

Ich möchte in dieser Abhandlung eine Möglichkeit des Patchmanagementes für KMU am Beispiel der MS-Software vorstellen. Microsoft nutzt immer den 2. Dienstag des Monats als "Patch-Day", offiziell Security Bulletin-Tag genannt. Dies ist der Tag, an dem die Softwareschmiede aktuelle Patches und Updates für Windows und Office zur Verfügung stellt. Auf diesen zweiten Dienstag im Monat baut nun die Ent sprechende "Patchmanagementstrategie" auf.

Beginnen wir zuerst mit den technischen Voraussetzungen. Zur Installation des Windows Server Update Services (WSUS) wird ein lauffähiger Windows 2003 Server benötigt. Bevor der WSUS-Server installiert werden kann, muss auf dem Server der IIS laufen und alle aktuellen Servicepacks und Patches sollten enthalten sein. Detailliertere Informationen zu den Installationsvoraussetzungen finden Sie auf den Microsoftwebseiten (www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx). Hardwaremäßig sind 512 MB RAM und ca. 10 GB auf der Festplatte notwendig. Wenn möglich sollte man sich ein Secure-Sockets-Layer-Zertifikat beschaffen. Ein Active Directory ist nicht nötig, erleichtert aber die Verwaltung.

Nun können wir mit der Planung und der Konfiguration beginnen. Der Zeitplan für den Test und die Verteilung der Patches ist davon abhängig, welche Priorität der ununterbrochenen Nutzungsdauer des Systems für die im Unternehmen notwendigen Aufgabenbereiche eingeräumt werden. Ebenfalls eine Rolle spielt, wie Kritisch eine Programmkorrektur ist. Diese beiden Punkte stehen im Widerspruch, denn wer lässt schon gerne ein System länger ungeschützt, wie notwendig. Auf der anderen Seite möchte man die Patches vorher gründlich auf ihre Verträglichkeit mit den Systemen testen.

Mit diesem Wissen lassen sich nun 3 Verteilgruppen kreieren. 1. Gruppe ist die Testgruppe, welche eine Auswahl repräsentativer Systeme, die nicht unbedingt Geschäftskritisch sind, enthält. Die zweite Gruppe beinhaltet die kritischen Systeme und in der dritten Gruppe befinden sich alle anderen in das Patchmanagement einbezogenen Systeme. Diese sind nun im WSUS anzulegen.

In der ersten Woche eines Monats bereitet man sich auf die Aktualisierungen vor, dazu wird im WSUS auf neue Systeme geprüft und anschließend ein Bericht erzeugt. Dort genannte Probleme sind vor den weiteren Schritten zu beseitigen. Nun wird am 1. Donnerstag die Mikrosoftwebseite (www.microsoft.com/technet/security/bulletin/summary.mspx) aufgesucht. Hier findet sich eine Zusammenfassung aller in diesem Monat geplanten Patches. Zwar fehlen noch Details aber man erhält einen Überblick über die geplanten Patches und kann dabei gleich die selbst geplanten Änderungen formell dokumentieren (die Dokumentation ist in den Unternehmen unterschiedlich, je nach Richtlinie). Wer kann, sollte sich für den Security-Bulletin-Webcast anmelden. Dieser erscheint immer am Tag nach der Patchveröffendlichung (Mittwoch).

Am Montag in der zweiten Woche sind noch alle offenen Fragen zu klären, damit alles für das Update am Dienstag bereit ist. Der Testgruppe sollte man am Montag noch eine eMail senden, um sie auf die Aktualisierungen am nächsten Tag vorzubereiten.

Am Dienstag gegen 02:00 Uhr MEZ veröffentlicht Microsoft die Bulletins, das heisst zu Beginn des Arbeitstages bei www.microsoft.com/technet/security/current.aspx vorbeizuschauen. Unter dem Link "Get Security Bulletin Notifications" im rechten Teilfenster befinden sich die "Really Simple Syndication"-Informationen. Diese lassen sich abonnieren, um die Aktualisierungen direkt zu erhalten. Hierbei sollte man sich die Zeit nehmen, die Einzelnen in Betracht kommenden Bulletins eingehend zu prüfen um evtl. Hinweise für die Vorgehensweise sowie Nebenwirkungen zu finden. Mitunter ergeben sich auch Tipps um die Schwachstelle bis zur Beseitigung zu schützen. Dies kann Einfluss auf die Dauer bis zur Patcheinspielung haben. Eine lohnenswerte Fundgrube ist www.securityfocus.com. Hier veröffentlichen viele Unternehmen ihre eigenen detaillierten Anweisungen zum Ent sprechenden Patchmanagement.

Der erste Einsatz der neuen Patches sollte ausschließlich die Testgruppe betreffen. Alle anderen Gruppen werden nur auf "Erkennen" eingestellt. Der Stichtag zum Einspielen der Updates muss bei der Testgruppe daher in der Vergangenheit liegen.

Um den produktiven Betrieb nicht zu gefährden, ist es angebracht, die Patches vor Einsatz zu testen. Einige Unternehmen haben die Testprozedur fest vorgeschrieben, andere begnügen sich mit einem anschließenden Neustart. Auf alle Fälle sollte man sicherstellen, das alle benötigten Anwendungen funktionieren. Die meisten Aktualisierungen wirken sich nur geringfügig auf das System aus und erfordern daher nur geringfügiges Testen. Ist der Patchbeschreibung zu entnehmen, das kritische Punkte der eigenen Infrastruktur betroffen sind, sollte man ausgiebiger testen. Ein bis zwei Tage reichen hier bei KMU in der Regel. Bei größeren Strukturen kann auch mehr Zeit verstreichen.

Nach dieser Testphase werden die Aktualisierungen nun zum geforderten Stichtag eingerichtet. Nach dem man darauf vertrauen kann, das die kritischen Systeme fehlerfrei laufen (in der Regel nach einem Tag), kann die Aktualisierung im restlichen Netz verteilt werden.

Der Rest der zweiten Woche sollte der Behebung eventuell aufgetauchter Probleme gewidmet werden. Zum Wochenende zu ist ein Blick in http://www.microsoft.com/technet/community/newsgroups/security/default.mspx empfehlenswert. Hier stellen andere IT-Profis ihre Erfahrungen bei der Installation des Patches dar. Auch Folgeauswirkungen im Nachhinein werden hier diskutiert.

In der dritten Woche werden letzte Aktionen durchgeführt. Traten nach Aktualisierung tatsächlich Probleme auf, was man in dieser Woche zuverlässig weiß, sollte man sich nicht scheuen, den Support von Microsoft in Anspruch zu nehmen. Bei Problemen im Zusammenhang mit Aktualisierungen ist die technische Unterstützung kostenlos.

Nach Abschluss der Aktualisierungen ist es empfehlenswert mit dem Microsoft Baseline Security Analyzer (MBSA 2.0) neue Vergleichsdaten für den Sicherheitsstatus zu erstellen.

Die vierte Woche hat man nun für eventuelle Updates und Aktualisierungen anderer Software und zur Vorbereitung für den nächsten Monat.

Dieser Beitrag wurde unter Sicherheit veröffentlicht. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Microsoft – Patchmanagement

  1. Armin sagt:

    Hervorragend, so eine Anleitung habe ich schon immer gesucht. Als Admin eines Schulnetzes kann ich den beitrag super verwenden.

    PS: Wollte eigendlich nicht so dick auftragen, aber der Beitrag kommt mir gerade sehr gelegen.

Schreibe einen Kommentar